不久前,我在一家我工作的公司经历了这个过程,我计划不久后再以自己的业务再次经历这个过程。如果您具有一些网络技术知识,那还不错。否则,使用Paypal或其他类型的服务会更好。
该过程从获得商家帐户开始设置并绑定到您的银行帐户开始。您可能想向您的银行查询,因为许多主要的银行都提供商户服务。您可能能够获得交易,因为您已经是他们的客户,但是如果没有,那么您可以货比三家。如果您打算接受Discover或American Express,则它们将是分开的,因为它们为卡提供商户服务,因此无法解决。还有其他特殊情况。这是一个应用程序,需要准备。
接下来,您将要购买SSL证书,该证书可用于在公共网络上传输信用卡信息时保护通信。有很多供应商,但我的经验法则是从某种角度选择一个品牌名称。他们越了解,您的客户可能就越听说过它们。
接下来,您将要找到一个 与您的站点一起使用支付网关。尽管根据您的身高,这可以是可选的,但大多数时候不会。您将需要一个。支付网关供应商提供了一种与您将与之通信的Internet Gateway API进行通信的方式。大多数供应商都通过其API提供HTTP或TCP / IP通信。他们将代表您处理信用卡信息。两个供应商是 Authorize.Net和 PayFlow Pro。我在下面提供的链接提供了有关其他供应商的更多信息。
怎么办?对于初学者来说,有一些准则来指导您的应用程序必须遵循哪些准则才能传输交易。在进行所有设置的过程中,有人会查看您的站点或应用程序,并确保您遵守准则,例如使用SSL,并且您拥有使用条款和政策文档,以了解用户所使用的信息。对于。不要从其他站点窃取此文件。自己提出,如果需要,请聘请律师。这些事情大多数都属于Michael在他的问题中提供的PCI数据安全链接。
如果计划存储信用卡号,则最好准备在内部采取一些安全措施以保护信息。确保只有需要访问权限的成员才能访问存储信息的服务器。像任何良好的安全性一样,您可以分层进行处理。您放置的层越多越好。如果需要,可以使用密钥卡类型的安全性,例如SecureID或eToken以保护服务器所在的房间。如果您负担不起密钥卡路线,请使用两种密钥方法。允许有权进入房间的人签出钥匙,以及他们已经携带的钥匙。他们将需要两个钥匙才能进入房间。接下来,您将使用策略保护与服务器的通信。我的政策是,通过网络与之通信的唯一内容是应用程序,并且信息已加密。不能以任何其他形式访问服务器。对于备份,我使用truecrypt加密将备份保存到的卷。无论何时将数据删除或存储在其他位置,都可以再次使用truecrypt加密数据所在的卷。基本上,无论数据在哪里,都需要进行加密。确保获取数据的所有过程都带有审计线索。使用日志访问服务器机房,使用摄像机,如果可以的话,等等。另一措施是对数据库中的信用卡信息进行加密。这样可以确保只能在您的应用程序中查看数据,您可以在其中强制谁查看信息。
我将pfsense用于防火墙。我用小型闪存卡运行它,并设置了两个服务器。一种是用于故障转移以实现冗余。
我发现Rick Strahl撰写的这篇博客文章对理解电子商务以及通过Web应用程序接受信用卡所需的知识有很大帮助。
好吧,事实证明这是一个很长的答案。希望这些提示对您有所帮助。